$LogFile (Journal de métadonnées) - journal spécifique pour les modifications de métadonnées

Similaire dans son but (enregistrant les modifications pour la cohérence) mais distinct par fonction et portée de la , est le . Utilise les enregistrements USN pour suivre une large gamme d’événements du système de fichiers affectant les fichiers et les répertoires, il sert de journal transactionnel hautement spécialisé, spécifiquement dédié à l’enregistrement des modifications apportées aux métadonnées du système de fichiers avant que ces modifications ne soient définitivement engagées dans des structures telles que le .$USNJrnl$LogFile$USNJrnl$LogFile$MFT

Il enregistre des opérations telles que les mises à jour des attributs de fichiers, les modifications des horodatages MACB dans le , les modifications des enregistrements MFT eux-mêmes, les mises à jour des index d’annuaire, et d’autres modifications structurelles des métadonnées. Sa fonction principale du système est la récupérabilité – s’assurer que la structure du système de fichiers reste cohérente même en cas de plantage lors d’une mise à jour des métadonnées.$MFT

Pour des raisons médico-légales, cela peut être extrêmement précieux, bien que difficile à analyser. Il offre un historique très granulaire et à court terme des modifications des métadonnées. Cela peut potentiellement révéler :$LogFile

  • Preuve directe de timestamping, montrant éventuellement les horodatages original et faux intentionnels dans la même transaction enregistrée.

  • Preuve de manipulation d’attributs (comme la mise en lecture seule ou les drapeaux cachés).

  • Une séquence d’événements plus précise pour la création/suppression/renommage rapide de fichiers que ce qui pourrait être perçu par les horodatages ou même seul.$MFT$UsnJrnl

Cependant, il est notoirement difficile à analyser en raison de son format interne complexe et largement non documenté, ainsi que de sa nature circulaire (il écrase assez rapidement les anciennes entrées sur les systèmes actifs). Des outils spécialisés comme le « NTFS Log Parser » ou des fonctions avancées au sein de suites médico-légales complètes sont nécessaires pour interpréter efficacement son contenu. Son analyse est généralement considérée comme une technique avancée.$LogFile

PrécédentLe Journal ($USNJrnl) - Le journal des modificationsSuivantFlux de données alternatifs (ADS) - Flux de données cachés

Mis à jour